[PHP-users 787] Re: セッション情報の漏洩を防ぐ方法

[renzo]

こんにちは、新開です。

nkon> ソフト工房の近藤です。
nkon> # 新開さんの方が十分お詳しそうで余計なフォローでした。
とんでもございません。自分の場合、一人でプログラムを組むことが
多いので、考え方や物事の解釈が、自分の都合のいいようになりがち
です。

nkon> 一垓にはいえませんが、nobody は、特別なパーミッションを
nkon> 必要としないか持つべきでない特別なユーザー名として使い
nkon> はじめられたという歴史的経緯もあるので、Web アプリとして
nkon> 独立して管理できる専用のユーザー名にすべきだということです。
nkon> あえて、nobody を使用するメリットは考えられません。
今まで漠然とnobodyのままApacheを使用しておりました。ご指摘がなければ
「nobodyとはApache実行ユーザ用のID」と勘違いをしていたかも知れません。
（というより、そんなこと考えたこともありませんでした）
また、DB（PostgreSQL）もnobodyに対して権限を与えるメリットがない、と
気がつきました。Apache実行ユーザとは別のIDにすべきですね。

大垣さんと松嶋さんのスレッドを拝見するまでは、
i-node数の枯渇や、１つのディレクトリに数万のファイルがあるとext2の
場合遅くなる、といった問題について、思いつきすらしませんでした。
DoS攻撃（セッションIDを発行するページを多数要求する）の方が、
現実的にありそうな気がします。
（ApacheはデフォルトでDoS攻撃に対応していたかも）
ファイル数の増大によるパフォーマンスの低下に関しては、DBを使用する
他にも、ファイルシステムをext3にしてみる、という解もありかなと。

ということで、技術的な話の他にも、経験でしか得られないような作法や
規則、違った視点からの解決方法、物事の考え方、といった情報を得させ
て頂いております（あくまで情報です、身に付いたとは言えませんので）。
なんだか雑談ぽくなってしまいましたが、今後ともよろしくお願いいたし
ます。